Перейти до основного вмісту

Кібератака на сайти державних органів

24.01.2022

У ніч з 13 на 14 січня було здійснено хакерську атаку на низку сайтів державних органів, зокрема МЗС, МОН та інші. На головній сторінці цих сайтів було розміщено повідомлення провокаційного характеру. Контент сайтів при цьому змінено не було та витоку персональних даних, за попередньою інформацією, не відбулося.

З метою недопущення поширення атаки на інші ресурси та локалізації технічної проблеми тимчасово призупинено роботу низки інших сайтів державних органів.

Зараз Держспецзв'язку спільно зі Службою безпеки України та Кіберполіцією збирає цифрові докази та займається дослідженням кіберінциденту.

Наразі триває робота з надання допомоги адміністраторам вражених ресурсів у їх відновленні.

За результатами опрацювання можливих векторів атаки не виключається використання зловмисниками вразливості October CMS:

https://www.cvedetails.com/cve/CVE-2021-32648/,

https://github.com/octobercms/october/security/advisories/GHSA-mxr5-mc97-63rc.

Якщо ваш сайт, який побудовано за допомогою даної CMS, зламано (проведено дефейс), рекомендуємо вжити наступні заходи: 

1.   Відключити доступ веб серверу від мережі Інтернет.

2.   Зібрати та передати до CERT-UA для аналізу такі дані:

лог-файли доступу до веб серверу,

образ та/або копію файлової системи веб серверу.

3.   Відновити веб сервер з резервної копії. Якщо така можливість відсутня необхідно відновити стартову сторінку сайту:

перейти за посиланням {ваш_домен}/backend/rainlab/blog/posts, знайти шкідливий пост та видалити його.

4.   Перевірити наявність веб шелів (нелегітимних фалів та скриптів) на веб сервері (https://cert.gov.ua/files/pdf/CUA-14-06R.pdf).

5.   Перевірити наявність сторонніх облікових записів користувачів CMS та ОС веб серверу та видалити нелегітимні, змінити паролі на всіх інших облікових записах.

6.   Заблокувати доступ до адмін-панелі CMS з мережі Інтернет:

6.1 При використанні веб-серверу NGINX:

Відредагувати файл конфігурації:

/etc/nginx/sites-enabled/{ім'я файлу з конфігурацією}.conf

Зазвичай ім'я файлу з конфігурацією співпадає з доменним іменем сайту

Додати в конфігурацію (в директиві server) наступні рядки: 

location /backend/backend/auth/restore {

allow {ваша внутрішня адміністративна мережа або внутрішня ІР адреса адміністратора};

deny all;

}

location /backend/backend/auth/signin {

allow {ваша внутрішня адміністративна мережа або внутрішня ІР адреса адміністратора};

deny all;

}

перезапустити NGINX.

6.2 При використанні веб-серверу APACHE:

Відредагувати файл конфігурації:

/etc/apache2/sites-enabled/{ім'я файлу з конфігурацією}.conf

Зазвичай ім'я файлу з конфігурацією співпадає з доменним іменем сайту

Додати в конфігурацію наступні рядки:

<Location /backend/backend/auth/restore >

Order deny,allow

Deny from all

Allow from {ваша внутрішня адміністративна мережа або внутрішня ІР адреса адміністратора}  

</Location>

<Location /backend/backend/auth/signin >

Order deny,allow 

Deny from all

Allow from {ваша внутрішня адміністративна мережа або внутрішня ІР адреса адміністратора}  

</Location>

перезапустити APACHE.

7.   Оновити OctoberCMS до останньої версії (у версії 1.0.472, 1.1.5 вразливість вже усунено). Включити сервер в продакшн.

Якщо сайт не зламано виконати дії зазначені в пунктах 4 – 7.


Зображення до статті

За темою «Security»

11.10.2024

Завдяки співпраці з партнерами Державний центр кіберзахисту посилює кіберстійкість держави

19.06.2024

Державний центр кіберзахисту збільшує технічні спроможності Національного центру резервування державних інформаційних ресурсів

30.04.2024

Державний центр кіберзахисту збільшує технічні спроможності Національного центру резервування державних інформаційних ресурсів

18.04.2024

Державний центр кіберзахисту збільшує технічні спроможності Національного центру резервування державних інформаційних ресурсів

19.03.2024

Державний центр кіберзахисту спільно з Unit 42 Palo Alto Networks провели дослідження шкідливого програмного забезпечення SmokeLoader

Більше новин